使用Azure Active Directory自定義SSO

Question

我們目前使用Office 365，並且希望擴展Azure Active Directory的使用以向第三方Web應用程序提供SSO。我們的某些必需應用程序目前不支持在應用程序庫中，因此我一直在測試從頭開始爲其中一個應用程序創建SSO設置。請注意，這不是我自己開發的我自己的應用程序，而是一款支持SAML的商業應用程序。有沒有關於設置這個沒有開發人員重點的指導？我正在尋找甚至可能，或者這是真的只適用於LOB應用程序？謝謝！

我沒有在SAML或web開發的背景下，所以請善待;）

Answer 1

拉里，我們愛得到這些反饋 - 告訴我們您正在使用哪些應用，我們也許能夠將他們的整合優先級更高。也就是說，如果您想嘗試手動集成這些應用程序，則取決於AzureAD是否支持這些應用程序所需的聲明，這可能是可能的。下面是您的最佳投注：

1. 在代表應用程序的Azure AD中註冊新應用程序（在Azure管理門戶目錄中的「應用程序」選項卡中）。在此應用程序註冊中，將「回覆URL」指定爲應用程序期望發佈令牌的URL（在SAML-P中稱爲AssertionConsumerServiceURL）。此外，在此應用程序註冊中，將「應用程序ID URI」指定爲應用程序在令牌中所期望的受衆字符串（在SAML-P中稱爲受衆）
2. 在應用程序中將您的Azure AD註冊爲身份提供商。大多數應用程序只需要指定令牌簽名證書。從Azure AD元數據URL（https://login.windows.net/ {您的Azure AD租戶ID或域名} /federationmetadata/2007-06/federationmetadata.xml）獲取證書並將其註冊到應用程序中。某些應用程序還要求註冊身份提供商的發行人價值。您的AzureAD將發行頒發者值爲'https://sts.windows.net/ {您的Azure AD租戶ID} /'的令牌（例如https://sts.windows.net/7fe877e6-a150-4992-bbfe-f517e304dfa0/）。如果您的應用程序支持SP啓動的SSO - 嚮應用程序提供IdP登錄URL（您的Azure AD租戶ID或域名}/saml2），以將用戶重定向到（當用戶單擊登錄時）。
3. 最後，如果您的應用程序期望IdP啓動SSO，請構建一個SAML AuthNRequest預存並將其保存在URL中 - 當您的組織的用戶點擊此URL（SAML AuthNRequest）時，它們將被重定向到Azure AD，簽到，然後令牌將被張貼到應用程序的AssertionConsumerServiceURL - 導致越來越登錄的用戶可以使用以下工具來創建一個SAML AuthNRequest：https://www.authnauthz.com/SAML/OutboundAuthNRequest

希望這有助於。 再次 - 讓我知道你想要集成什麼應用程序 - 我們可能會幫助更多。